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(54) Bezeichnung: PROZESSOR MTT MEHREREN RECHENWERKEN 





00 





CD (57) Abstract: The invention relates to a processor comprising a first arithmetic-logic unit (2), a second arithmetic-logic unit (4) 
fT) and a control device (6) for controlling both arithmetic-logic units (2, 4). The control device controls the arithmetic-logic units in 
^D such a manner that they operate, as desired, in a high-security operational mode, in which complementary data is processed, or in a 
A parallel operational mode, in which independent data is processed, or in a security operational mode, in which the same the data is 
processed, or are located in a power saving mode, in which one of the arithmetic-logic units (2, 4) is switched off. 

^ [Fortsetzung auf der ndchsten Seite] 



V* 

' wo 03/010638 Al liiiiililiiliiiiiliililli 



(84) Bcstimmungsstaaten (regional): ARIPO-Patent (GH, 
GM, KE, LS, MW, MZ, SD, SL, SZ, TZ, UG, ZM, ZW), 
curasisches Patent (AM, AZ, BY, KG, KZ, MD, RU, TJ, 
TM), europaisches Patent (AT, BE, BG, CH, CY, CZ, DE, 
DK. EE, ES, FI, FR, GB. GR, DE, IT, LU. MC, NL, FT. 
SE, SK, TR), OAPI-P^tent (BF, BJ, CP. CG, Q. CM, GA, 
GN, GQ, GW. ML, MR, NE, SN, TD, TG). 

VerdffentUcbt: 

— mit internationalem Recherchenbericht 



— vor Ablauf der Jur Anderungen der Anspriiche geltenden 
Frist; Ver&ffentlichung wird wiederholt, falls Anderungen 
ein 



Zur Erkldrung der Zweibuchstaben-Codes und der anderen 
Abkurzungen wird auf die Erkldrungen ("Guidance Notes on 
Codes and Abbreviations") am Arifangjeder regjuldren Ausgabe 
der PCT-Gazette verwiesen. 



(57) Zusammenfassung: Prozessor mit mehreren RechenwerkenEin Prozessor umfaBt ein erstes Rechenwerk (2), ein zweites Re- 
chenweik (4) und eine Steuereinrichtung (6) zutn Ansteuem der beiden Rechenwerke (2, 4) derart, daB diese wahlweise in einer 
komplemcntarc Datcn verarbcitcnden Hochsichcrheitsbctricbsart odor in cincr unabhangigc Daten verarbcitenden Parallclbctricbs- 
art Oder in einer gleiche Daten verarbeitenden Sicherheitsbetiiebsart arbeiten oder sich in einer Leistungsspaibetriebsart befmden, in 
der eines der Rechenwerke (2, 4) abgeschaltet ist. 
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Beschreibung 

Prozessor mit mehreren Rechenwerken 

5 Die vorliegende Erfindung bezieht sich auf einen Prozessor 
mit mehreren Rechenwerken und insbesondere auf einen Prozes- 
sor mit mehreren Rechenwerken, die in einer wShlbaren Be- 
triebsart entsprechend der Dual-Rail-Logik zusammenwirken 
JcGnnen . 

10 

Mikroprozessoren bzw. Controller fur Chipkartenanwendungen 
und andere kryptographische Anwendungen miissen haufig beson- 
deren Sicherheitsbedingungen genugen. Eine der Hauptanforde- 
rungen ist die Sicherheit des Mikroprozessors gegen ein unbe- 

15 rechtigtes Auslesen geheimer Informationen, insbesondere tiber 
Seitenkanalangriffe ("'side channel attacks") . Seitenkanalan- 
griffe erfolgen beispielsweise durch eine Erfassung der Lei- 
stungsaufnahme eines Prozessors oder liber eine elektromagne- 
tische Oder elektrostatische Erfassung von Signalf lussen, wo- 

20 bei aus den so gewonnenen Inf ormationen Ruckschliisse auf in- 
terne Vorgange in dem Prozessor gezogen warden konnen. Neben 
Hochsicherheitsaufgaben muB ein Chipkartencontroller aber 
auch eine Vielzahl konventioneller Operationen ausfuhren, bei 
denen eine hohe Leistung einen groBen Vorteil darstellt und 

25 einen wichtigen Marktvorteil ergeben kann. Als Beispiele wa- 
ren hier Anwendungen aus dem Mobilfunkbereich zu nennen, bei 
denen die eigentliche Authentikation nur einen sehr geringen 
Teil der Programmlauf zeit ausmacht. Trotzdem wird fur diesen 
geringen Anteil die voile Sicherheit der Authentikation ver- 

30 langt. Ahnliches gilt auch fiir elektronische Geldborsen, so- 
gar fur die Geldkarte, denn auch bei diesen Anwendungen sind 
groBe Telle des Programmablauf s wenig sicherheitskritisch, 
die eigentliche Authentikation ist jedoch eine Hochsicher- 
heitsauf gabe . 

35 

Eine hochsichere Ausftihrung des Prozessorkerns ist z. B. in 
der sog- Dual-Rail-Logik mit Precharge mOglich. Die Ausfuh- 
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rung eines Sicherheitsmikrocontrollers in Dual-Rail-Logik mit 
Precharge ist eine wichtige MaBnahme gegen Seitenkanalangrif- 
fe, die heute eine groBe Bedrohung darstellen. Sie verursacht 
jedoch einen im Vergleich zu einem herkommlichen Prozessor 
5 wirtschaftlich nachteiligen grofieren Flachenbedarf und kann 
durch die Notwendigkeit mehrerer Taktphasen zu Leistungsein- 
buiien des Mikroprozessors fUhren. Dies hat im Vergleich zu 
Standardarchitekturen eine geringere Rechenleistung bzw. ei- 
nen geringen Datendurchsatz sowie einen erhohten Leistungsbe- 
10 darf des Prozessors zur Folge. 

Die Aufgabe der vorliegenden Erfindung besteht darin, einen 
Prozessor mit erhohter Sicherheit zu schaffen, der eine hohe- 
re Rechenleistung bzw. einen kleineren Leistungsbedarf auf- 
15 weist, 

Diese Aufgabe wird durch einen Prozessor gemSB Anspruch 1, 2, 
3 Oder 11 gel5st. 

20 Ein Prozessor gemaB der vorliegenden Erfindung umfaBt ein er- 
stes Rechenwerk, ein zweites Rechenwerk und eine Steuerein- 
richtung zum Ansteuern der beiden Rechenwerke derart, daB 
diese wahlweise in einer komplementare Daten verarbeitenden 
Hochsicherheitsbetriebsart oder in einer unabhangige Daten 

25 verarbeitenden Parallelbetriebsart arbeiten. Anstatt der Par- 
allelbetriebsart oder zusStzlich kann als weitere Betriebsart 
eine Leistungssparbetriebsart, in der eines der Rechenwerke 
abgeschaltet ist, oder eine Sicherheit sbetriebsart, in der 
beide Rechenwerke parallel gleiche Daten verarbeiten, vorge- 

30 sehen sein. 

GemaB einem bevorzugten Ausftihrungsbeispiel der vorliegenden 
Erfindung umfaftt ein Prozessor ferner eine schaltbare Komple- 
mentierungseinrichtung mit einem Ausgang, der mit einem Ein- 
35 gang des zweiten Rechenwerks verbunden ist, zum Empfangen von 
Daten und zum wahlweisen Ausgeben der empfangenen Daten oder 
des Komplements der empfangenen Daten. 
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Ein Prozessor gemaii der vorliegenden Erfindung kann ferner 
ein drittes Rechenwerk und ein viertes Rechenwerk umfassen, 
wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
5 die Steuereinrichtung derart ansteuerbar sind, daB sie wahl- 
weise in einer komplementSre Daten verarbeitenden Hochsicher- 
heitsbetriebsart oder in einer unabhSngige Daten verarbeiten- 
den Parallelbetriebsart arbeiten. In einer anstelle der Hoch- 
sicherheitsbetriebsart oder zusatzlich zu ihr vorgesehenen 
10 Leistungssparbetriebsart ist das dritte und/oder das vierte 
Rechenwerk abgeschaltet . 

Das erste Rechenwerk und das zweite Rechenwerk sind vorzugs- 
weise derart ausgestaltet, daJi sie in der Hochsicherheitsbe- 
15 triebsart zeitsynchron die gleichen Befehle verarbeiten k5n- 
nen. Das erste Rechenwerk und das zweite Rechenwerk sind vor- 
zugsweise raumlich benachbart angeordnet. Der Prozessor kann 
beispielsweise ein Kryptographieprozessor sein. 

20 Ein weiterer Prozessor gemaii der vorliegenden Erfindung um- 
falit ein erstes Rechenwerk, ein zweites Rechenwerk, eine Da~ 
tenquelle, welche mit dem ersten Rechenwerk und dem zweiten 
Rechenwerk derart verbunden ist, daB synchron dem ersten Re- 
chenwerk Daten und dem zweiten Rechenwerk das Komplement der 

25 Daten zugeftihrt werden, und eine Befehlsquelle, welche ein 
Paar von Befehlen aufweist, wobei einer der Befehle des Be- 
fehlspaares ftir das erste Rechenwerk vorgesehen ist und wobei 
der andere Befehl des Bef ehlspaares fur das zweite Rechenwerk 
vorgesehen ist, und wobei die Bef ehlsquelle mit dem ersten 

30 Rechenwerk und dem zweiten Rechenwerk derart verbunden ist, 
daB synchron der fiir das erste Rechenwerk vorgesehene Befehl 
des Befehlspaares dem ersten Rechenwerk und der fur das zwei- 
te Rechenwerk vorgesehene Befehl des Befehlspaares dem zwei- 
ten Rechenwerk zugefuhrt werden k5nnen- 

35 

Der fOr das erste Rechenwerk vorgesehene Befehl und der fflr 
das zweite Rechenwerk vorgesehene Befehl konnen gleich sein. 
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wenn der Prozessor in einer Dual-Rail-Betriebsart oder einer 
Sicherheitsbetriebsart arbeiten soil, sie k5nnen voneinander 
verschieden sein, wenn der Prozessor in einer Hochleistungs- 
betriebsart arbeiten soli, und einer der beiden Befehle kann 
5 das Rechenwerk, ftir das er vorgesehen ist, stillegen, wenn 
der Prozessor in einer Leistungssparbetriebsart arbeiten 
soli. 

Eine weitere Aufgabe der vorliegenden Erfindung besteht dar- 
10 in, eine Chipkarte mit erhohter Sicherheit und einer verbes- 
serten Rechenleistung und/oder einem verringerten Leistungs- 
bedarf zu schaffen. 

Diese Aufgabe wird durch eine Chipkarte gemMfi Anspruch 13 ge- 
15 15st. 

Eine Chipkarte gemaB der vorliegenden Erfindung umfaBt einen 
der oben beschriebenen Prozessoren. 

20 Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, dali 
eine Dual-Rail-Logik durch eine Anordnung mehrerer Prozessor- 
teilmodule realisiert werden kann, die in verschiedenen Be- 
triebsarten betrieben werden konnen. Vorteilhaft enthalt ein 
solcher Mikroprozessor zwei oder eine andere gerade Anzahl 

25 von CPU-Teilmodulen, die zumindest paarweise identisch aufge- 
baut sind- Bei zwei CPU-Teilen kann zwischen vier verschiede- 
nen Betriebszustanden gewMhlt und im Betrieb umgeschaltet 
werden : 

30 1. Hochsicherheitsbetriebsart : Einer der beiden CPU-Teile 
bzw. eines der beiden Rechenwerke arbeitet wie ein her- 
kommlicher Standardprozessor . Der zweite Teil jedoch 
wird mit den komplementaren Daten versorgt und bearbei- 
tet diese zeitsynchron mit exakt den gleichen Befehlen 

35 und der gleichen Ansteuerung, wobei die Rechenwerke im 

Precharge-Betrieb arbeiten. Damit wirken die beiden Pro- 
zessorteile zusammen wie ein einziger Prozessor mit Du- 
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al-Rail-Logik, sie befinden sich in der Hochsicherheits- 
betriebsart. Vorteilhaft sind die komplementar rechnen- 
den Elemente raumlich nebeneinander angeordnet und vor- 
zugsweise sind sie ferner verwoben angeordnet^ wodurch 
eine solche Anordnung auch gegen elektromagnetische Ab- 
strahlungsanalysen gesichert werden kann. Im Sinne die- 
ser Anmeldung ist ein Prozessor mit komplementar rech- 
nende Rechenwerke ein Prozessor mit einer von verarbei- 
teten Daten unabhangigen Stromauf nahme. 

Hochleistungsbetriebsart : Fur Programme oder Programm- 
teile, bei denen eine starke Sicherung gegen Seitenka- 
nalangriffe nicht erforderlich ist, ist die Hochlei- 
stungsbetriebsart vorgesehen. In dieser Betriebsart wer- 
den die CPU--Teile bzw. Rechenwerke mit parallel abzuar- 
beitenden bzw. unterschiedlichen Prograramteilen ver- 
sorgt. So entsteht eine Anordnung von zwei CPUs bzw, 
Prozessoren, wodurch sich der Datendurchsatz verdoppeln 
kann. 

Leistungssparbetriebsart : In der Leistungssparbetriebs- 
art wird eines oder mehrere Rechenwerke deaktiviert, so 
daB nur noch ein Rechenwerk oder ein Teil der Rechenwer- 
ke arbeitet. Durch die kleinere Anzahl von schaltenden 
Gattern ist die Leistungsaufnahme reduziert. Der Prozes- 
sor arbeitet in dieser Betriebsart weder im Bereich der 
hochsten Sicherheitsstufe noch im Bereich der hochsten 
Leistung. 

Sicherheitsbetriebsart : Eine Sicherheitsbetriebsart ist 
eine Betriebsart, bei der zwei Rechenwerke die gleichen 
Daten verarbeiten und durch Vergleich der Ergebnisse 
dieser Verarbeitung die Betriebssicherheit erhoht wird, 
was beispielsweise einen Schutz gegen DFA (differential 
fault attack) bietet. 
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Ein Vorteil des erf indungsgemaiJen Prozessors besteht darin, 
daB er die hohe Sicherheit einer Dual-Rail-Logik fUr sicher- 
heitsrelevante Prograirane bzw. Programmteile und eine hohe Re- 
chenlei stung oder einen geringeren Leistungsbedarf fiir eine 
5 Verarbeitung weniger sicherheitsrelevanter Programmteile bie- 
tet, wobei zwischen verschiedenen Betriebsarten dynamisch 
auch wahrend des Betriebes geschalten werden kann. 

Wenn in der vorliegenden Amneldung von zwei Rechenwerken die 
10 Rede ist, konnen jeweils n*2 Rechenwerke zum Einsatz kommen, 
wobei n eine naturliche Zahl ist, 

Ein bevorzugtes Ausfiihrungsbeispiel der vorliegenden Erf in- 
dung wird nachfolgend Bezug nehmend auf die beiliegenden 
15 Zeichnungen naher erlSutert. Es zeigen: 

Fig. 1 eine schematische Darstellung eines Ausfuhrungsbei- 
spiels der vorliegenden Erfindung; 

20 Fig- 2 eine schematische Darstellung einer Hochsicher- 

heitsbetriebsart des Ausfuhrungsbeispiels aus Fig. 
1; 

Fig. 3 eine schematische Darstellung einer Hochleistungs- 
25 betriebsart des Ausftlhrungsbeispiels aus Fig. 1; 

Fig. 4 eine schematische Darstellung einer Leistungsspar- 
betriebsart des Ausfuhrungsbeispiels aus Fig. 1; 
und 



30 



Fig. 5 eine schematische Darstellung einer Sicherheitsbe- 
triebsart des Ausfuhrungsbeispiels aus Fig. 1. 



Fig. 1 ist eine schematische Darstellung des fur die vorlie- 
35 gende Erfindung relevanten Teils eines Prozessors gemali einem 
Ausftihrungsbeispiel der vorliegenden Erfindung. Der Prozessor 
weist ein erstes Rechenwerk 2, ein zweites Rechenwerk 4, eine 
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Steuereinrichtung 6 und eine Komplementierungseinrichtung 8 
auf . Im Fall von zwei parallelen Datenleitungen kann die Kom- 
plementierungseinrichtung 8 durch einen Inverter gebildet 
sein. Die Steuereinrichtung 6 ist mit dem ersten Rechenwerk 2 
tiber eine Steuerleitung 12 und mit dem zweiten Rechenwerk 4 
Ober eine Steuerleitung 14 wirksam verbunden. Das erste Re- 
chenwerk 2 weist einen Befehlseingang 16, der tiber eine Lei- 
tung 18 mit einer nicht dargestellten Befehlsquelle, bei- 
spielsweise einem Prograramspeicher in Form eines ROMs (ROM = 
Read Only Memory = Nur-Lese-Speicher) , eines RAMs (RAM = Ran- 
dom Access Memory = Speicher mit wahlfreiem Zugriff) oder ei- 
ner Festplatte, verbunden ist, sowie einen Dateneingang 20, 
der uber eine Datenleitung 22 mit einer nicht dargestellten 
Datenquelle, beispielsweise einem Datenspeicher oder einer 
Schnittstelle verbunden ist, auf. Das zweite Rechenwerk 4 
weist einen Befehlseingang 24, der tiber eine Befehlsleitung 
26 mit der nicht dargestellten Befehlsquelle, mit der das er- 
ste Rechenwerk liber die Befehlsleitung 18 verbunden ist, oder 
mit einer anderen Befehlsquelle verbunden ist, und einen Da- 
teneingang 28, der uber eine Datenleitung 30 mit einem Aus- 
gang 32 der Komplementierungseinrichtung 8 verbunden ist, 
auf. Die Komplementierungseinrichtung 8 weist ferner einen 
Eingang 34 auf, der tiber eine Datenleitung 36 mit der Daten- 
quelle, mit der das erste Rechenwerk 2 tiber die Datenleitung 
22 verbunden ist, oder einer anderen Datenquelle verbunden 
ist. Die Steuereinrichtung 6 und die Komplementierungsein- 
richtung 8 sind uber eine Steuerleitung 38 wirksam verbunden. 

Das erste Rechenwerk 2 bzw. das zweite Rechenwerk 4 verarbei- 
tet gesteuert durch Befehle, die ihm an dem Befehlseingang 16 
bzw. 24 zugeleitet werden, Daten, die ihm am Dateneingang 20 
bzw. 28 zugeleitet werden. Die Komplementierungseinrichtung 8 
ist steuerbar bzw. schaltbar, d. h. sie gibt an ihrem Ausgang 
32 wahlweise Daten aus, die sie am Eingang 34 empfangen hat 
(Komplementierungseinrichtung ausgeschaltet) oder deren Kom- 
plement (Komplementierungseinrichtung eingeschaltet) . Diese 
beiden ZustSnde der Komplementierungseinrichtung 8 werden 
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durch die Steuereinrichtung 6 uber die Steuerleitung 38 ge- 
steuert bzw. geschaltet- Die Steuereinrichtung 6 steuert fer- 
ner das erste Rechenwerk 2 und das zweite Rechenwerk 4 um 
mehrere verschiedene Betriebsmodi bzw. Betriebsarten einzu- 
5 stellen, die nachfolgend anhand der Fig. 2 bis 4 naher be- 
schrieben werden. 

Fig, 2 ist eine schematische Darstellung einer Hochsicher- 
heitsbetriebsart des Ausfahrungsbeispiels aus Fig. 1. In die- 

10 ser Betriebsart empfangen das erste Rechenwerk 2 und das 

zweite Rechenwerk 4 an dem Bef ehlseingang 16 bzw. 24 diesel- 
ben Befehle zur Verarbeitung von Daten. Ferner werden dem er- 
sten Rechenwerk 1 am Dateneingang 20 und der Komplementie- 
rungs einrichtung 8 am Eingang 34 dieselben Daten zugeleitet. 

15 Die Komplementierungseinrichtung 8 ist eingeschaltet, d- h. 
sie gibt am Ausgang 32 das Komplement der Daten aus^ die sie 
am Eingang 34 empfSngt. Das zweite Rechenwerk 4 empfangt so- 
mit an seinem Dateneingang 28 das Komplement der Daten, die 
das erste Rechenwerk 2 an seinem Dateneingang 20 empfangt. In 

20 dieser Hochsicherheitsbetriebsart entspricht die Funktion des 
Prozessors gemaii dem vorliegenden Ausfuhrungsbeispiel somit 
der Dual-Rail-Logik, d. h. die vorzugsweise baugleichen Re- 
chenwerke 2 und 4 verarbeiten gesteuert durch dieselben Be- 
fehle synchron komplementSre Daten. In dieser Hochsicher- 

25 heitsbetriebsart ist ein Seitenkanalangrif f Uber eine Messung 
der Leistungsaufnahme des Prozessors stark erschwert oder gar 
unmoglich, da die Leistungsaufnahme des ersten Rechenwerks 
und des zweiten Rechenwerks zusammen aufgrund der Verarbei- 
tung komplementarer Daten nicht von den Daten abhangig ist. 

30 Wenn das erste Rechenwerk 2 und das zweite Rechenwerk 4 in 
raumlicher Nahe zueinander oder ineinander verwoben angeord- 
net werden, wird ferner ein Seitenkanalangrif f uber eine Ana- 
lyse der elektromagnetischen Abstrahlung des Prozessors we- 
sentlich erschwert, da aufgrund der Verarbeitung komplementa- 

35 rer Daten immer in unmittelbarer NShe zueinander Strome bzw. 
Spannungen auftreten, welche einem digitalen Wert und seinem 
Komplement entsprechen. 
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Fig. 3 zeigt eine Hochleistungsbetriebsart des ersten Rechen- 
werks 2 und des zweiten Rechenwerks 4. In dieser Betriebsart 
werden dem ersten Rechenwerk 2 und dem zweiten Rechenwerk 4 
5 an ihren Dateneingangen 20 und 28 verschiedene Daten und an 
ihren Bef ehlseing^ngen 16 und 24 verschiedene Befehle zuge- 
fuhrt. Durch die parallele bzw. gleichzeitige Verarbeitung 
verschiedener oder gleicher Daten mit verschiedenen oder 
gleichen Befehlen bzw. Prograitimen oder Programmteilen verdop- 

10 pelt sich die Rechenleistung des Prozessors gemali dem vorlie- 
genden Ausfuhrungsbeispiel . Der Prozessor kann somit in der 
gleichen Zeit und mit der gleichen Leistungsaufnahme wie in 
der Hochsicherheitsbetriebsart, gesteuert durch die doppelte 
Anzahl von Befehlen, die doppelte Anzahl von Daten verarbei- 

15 ten- Gleichzeitig bietet diese Betriebsart aber nicht den be- 
sonderen Schutz gegen Seitenkanalangriffe, den die anhand der 
Fig. 2 erlauterte Hochsicherheitsbetriebsart bietet. Sie bie- 
tet jedoch den Vorteil der Verschleierung der Stromprof ile 
sowie der elektromagnetischen Abstrahlung durch parallele 

20 Verarbeitung verschiedener Daten - 

Fig. 4 ist eine schematische Darstellung einer Leistungsspar- 
betriebsart. In dieser Betriebsart ist eines der beiden Re- 
chenwerke, hier das zweite Rechenwerk 4, abgeschaltet bzw. es 

25 wird nicht mit Leistung versorgt. Das andere Rechenwerk, hier 
das erste Rechenwerk 2, empfSngt Daten und Befehle, welche es 
verarbeitet. In dieser Betriebsart sind die Leistungsaufnahme 
und die Rechenleistung der beiden Rechenwerke gegenuber der 
anhand Fig. 3 erlSuterten Hochleistungsbetriebsart halbiert. 

30 Wie die Hochleistungsbetriebsart bietet auch die Leistungs- 
sparbetriebsart nicht die besondere Sicherheit gegenuber Sei- 
tenkanalangrif fen, welche die anhand der Fig. 2 erlauterte 
Hochsicherheitsbetriebsart bietet . 

35 Fig. 5 ist eine schematische Darstellung einer Sicherheitsbe- 
triebsart des Ausfiihrungsbeispieles aus Fig. 1. In dieser Be- 
triebsart empfangen das erste Rechenwerk 2 und das zweite Re- 
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chenwerk 4 an dem Befehlseingang 16 bzw. 24 dieselben Befehle 
zur Verarbeitung von Daten- Ferner warden dem ersten Rechen- 
werk 1 am Dateneingang 20 und der Komplementierungseinrich- 
tung 8 am Eingang 34 dieselben Daten zugeleitet. Die Komple- 
5 mentierungseinrichtung 8 ist ausgeschaltet, d. h. sie gibt am 
Ausgang 32 die Daten aus, die sie am Eingang 34 empfangt. Das 
zweite Rechenwerk 4 empfSngt somit an seinem Dateneingang 28 
die gleichen Daten, die das erste Rechenwerk 2 an seinem Da- 
teneingang 20 empfangt. In dieser Sicherheitsbetriebsart ver- 

10 arbeiten das erste Rechenwerk 2 und das zweite Rechenwerk 4 
gesteuert durch dieselben Befehle synchron die gleichen Da- 
ten. Die durch beide Rechenwerke ausgegebenen Ergebnisse wer- 
den einer in Fig. 1 nicht dargestellten Vergleichseinrichtung 
zugefuhrt, welche die Ausgabe des ersten Rechenwerkes 2 und 

15 die Ausgabe des zweiten Rechenwerkes 4 auf Obereinstimmung 

uberpriift und abhangig da von ein Signal ausgibt, welches ver- 
wendet werden kann, urn beispielsweise eine Wiederholung der 
Verarbeitung der Eingangsdaten, eine Verwendung von Default- 
daten bzw. voreingestellten Daten anstelle der ausgegebenen 

20 Ergebnisse, eine Plausibilitatsiiberpruf ung der beiden ausge- 
gebenen Ergebnisse, eine vorubergehende Unterbrechung oder 
einen vollstandigen Abbruch der Datenverarbeitung durch die 
Rechenwerke oder eine andere voreingestellte Reaktion zu 
steuern bzw. auszulosen. Dadurch bietet die Sicherheitsbe- 

25 triebsart einen Schutz gegen einen DFA. 

Entsprechend kann auch bei der oben anhand der Fig. 2 darge- 
stellten Hochsicherheitsbetriebsart eine Oberprufung der 
durch das erste Rechenwerk 2 und das zweite Rechenwerk 4 aus- 
30 gegebenen Ergebnisse auf Komplementaritat durchgefuhrt wer- 
den. 

Die anhand der Fig. 2 bis 5 erlauterten Betriebsarten eignen 
sich fUr verschiedene Aufgaben, welche ein Prozessor, bei- 
35 spielsweise ein Prozessor in einer Chipkarte oder ein anderer 
Kryptoprozessor oft abwechselnd oder nacheinander erfuilen 
muB. Bei der Abarbeitung von Programmen oder Programmteilen 
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zur Authentikation, zur Verschlusselung oder zum Zugriffs- 
schutz ist eine maximale Sicherheit gegeniiber Angriffen Unbe- 
fugter^ beispielsweise gegenUber Seitenkanalangrif f en, erfor- 
derlich. Der Umfang dieser extrem sicherheitsrelevanten Auf- 
5 gaben ist dabei oft vergleichsweise gering. Sie werden in der 
Hochsicherheitsbetriebsart ausgefiihrt, welche eine maximale 
Sicherheit und eine mittlere Leistung bietet. 

Den grofiten Umfang haben bei vielen Anwendungen Operationen 
10 bzw. Aufgaben des Prozessors, die geringere oder gar keine 
Anforderungen an die Sicherheit gegeniiber Angriffen stellen, 
deren Abarbeitung in moglichst kurzer Zeit jedoch erwunscht 
ist, beispielsweise xm einem Anwender einen hohen Komfort zu 
bieten und ihm Wartezeiten zu ersparen. Diese Operationen 
15 konnen in der Hochleistungsbetriebsart ausgefuhrt werden, die 
einen geringeren Grad an Sicherheit gegeniiber Angriffen, aber 
eine im Vergleich zur Hochsicherheitsbetriebsart verdoppelte 
Rechenleistung bietet - 

20 Ferner treten bei zahlreichen Anwendungen Aufgaben auf, bei 
denen nur eine geringe oder fast verschwindende Rechenlei- 
stung erforderlich ist, well beispielsweise im Programmablauf 
auf eine Eingabe eines Anwenders oder eine Information, die 
von einer anderen Einrichtung angefordert wurde, gewartet 

25 wird. Diese Aufgaben kGnnen in der Leistungssparbetriebsart 
ausgefuhrt werden, welche die geringe Rechenleistung der 
Hochsicherheitsbetriebsart mit der geringen Sicherheit der 
Hochleistungsbetriebsart kombiniert, dabei aber den Lei- 
stungsbedarf der Rechenwerke halbiert. 

30 

Ein Vorteil eines Prozessors gemaJi der vorliegenden Erfindung 
besteht darin, daB durch eine Realisierung von zwei oder drei 
der oben beschriebenen Betriebsarten, insbesondere der Hoch- 
sicherheitsbetriebsart zusammen mit der Hochleistungsbe- 
35 triebsart und/oder der Leistungssparbetriebsart, eine flexi- 
ble Anpassung von Sicherheitsstandard, Rechenleistung und 
Leistungsbedarf moglich ist, wobei zwischen den Betriebsarten 
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dynamisch bzw. wahrend des Betriebs umgeschaltet hzw. gewech- 
selt werden kann. So kann beispielsweise in der Hochlei- 
stungsbetriebsart ein Anwender aufgefordert werden, eine PIN 
einzugeben, in der Leistungssparbetriebsart auf eine Eingabe 
5 der PIN gewartet werden und diese anschlieJiend in der Hochsi- 
cherheitsbetriebsart kryptographisch verarbeitet werden. 

Zur Realisierung eines Prozessors, der gemafi der vorliegenden 
Erfindung zwei, drei oder vier der anhand der Fig. 2 bis 5 

10 erlauterten Betriebsarten aufweist, ist die in Fig. 1 schema- 
tisch dargestellte Schaltung aus dem ersten Rechenwerk 2, dem 
zweiten Rechenwerk 4, der Steuereinrichtung 6 und der Komple- 
mentierungseinrichtung 8 nur ein Beispiel. Alternativ zu der 
Darstellung in Fig. 1 kann beispielsweise die Komplementie- 

15 rungseinrichtung 8 ein Bestandteil des zweiten Rechenwerks 4 
und dessen Dateneingang 28 nachgeschaltet sein und/oder es 
kann eine weitere Komplementierungseinrichtung in der Daten- 
leitung 22 des ersten Rechenwerks oder im ersten Rechenwerk 2 
vorgesehen sein. Abhangig von der Architektur bzw. der ver- 

20 wendeten Schaltung der Rechenwerke 2 und 4 kann ferner unter 
Umstanden auf eine Komplementierungseinrichtung verzichtet 
werden, well beispielsweise zum Komplementieren lediglich 
zwei Leitungen gekreuzt werden mQssen. 

25 Die Steuereinrichtung 6 kann das erste Rechenwerk 2 und das 
zweite Rechenwerk 4 durch die Steuerleitungen 12 und 14 an- 
schalten bzw. aktivieren und (in der Leistungssparbetriebs- 
art) ausschalten bzw. stillegen, sie kann dies alternativ 
aber auch iiber einen Zugriff auf die Leistungsversorgung der 

30 beiden Rechenwerke tun. 

Eine Zufuhrung derselben Daten uber die Datenleitung ,22 an 
den Dateneingang 20 des ersten Rechenwerks 2 und Uber die Da- 
tenleitung 36 an den Eingang 34 der Komplementierungseinrich- 
35 tung 8 ist auf verschiedene Weisen m5glich. Beispielsweise 

kannen durch eine in Fig. 1 nicht dargestellte '"Datenweiche", 
die mit den Datenleitungen 22 und 36 verbunden ist, Daten von 
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einer Datenquelle synchron zum Dateneingang 20 des ersten Re- 
chenwerlcs 2 und zum Eingang 34 in der Komplementierungsein- 
richtung 8 geleitet werden. 

5 Alternativ kann eine Datenweiche in die Steuereinrichtung 6 
integriert sein. Dann ist abweichend von der Darstellung in 
Fig. 1 die Steuereinrichtung 6 mit einer Datenquelle verbun- 
den, wobei der Dateneingang 20 des ersten Rechenwerks 2 uber 
eine Datenleitung mit der Steuereinrichtung 6 verbunden ist, 

10 und wobei der Eingang 34 der Komplementierungseinrichtung 8 
uber eine Datenleitung mit der Steuereinrichtung 6 verbunden 
ist. Die Steuereinrichtung 6 kann dann je nach der erwunsch- 
ten Betriebsart dieselben Daten synchron zu dem ersten Re- 
chenwerk 2 und tiber die komplementierende oder nicht komple- 

15 mentierende Komplementierungseinrichtung 8 zu dem zweiten Re- 
chenwerk 4 leiten oder verschiedene Daten an das erste Re- 
chenwerk 2 und Ober die nicht-komplementierende Komplementie- 
rungseinrichtung 8 an das zweite Rechenwerk 4 leiten oder nur 
Daten an das erste Rechenwerk 2 leiten. 

20 

Auch beim Leiten von Befehlen iiber die Bef ehlsleitungen 18 
und 26 an den Bef ehlseingang 16 des ersten Rechenwerks 2 bzw, 
den Befehlseingang 24 des zweiten Rechenwerks 4 exis'tieren 
verschiedene M5glichkeiten. Der Befehlseingang 16 des ersten 

25 Rechenwerks 2 und der Befehlseingang 24 des zweiten Rechen- 
werks 4 kSnnen tiber die Bef ehlsleitungen 18 bzw. 26 direkt 
mit ein und derselben oder mit zwei verschiedenen Befehls- 
quellen verbunden sein, wie es oben in Zusammenhang mit Fig. 
1 erlautert wurde. Alternativ kann eine Bef ehlsquelle mit der 

30 Steuereinrichtung 6 verbunden sein, welche uber eine Befehls- 
leitung mit dem Befehlseingang 16 des ersten Rechenwerks und 
uber eine Bef ehlsleitung mit dem Befehlseingang 24 des zwei- 
ten Rechenwerks verbunden ist. Die Steuereinrichtung 6 leitet 
dann je nach der erwtinschten Betriebsart synchron dieselben 

35 Befehle oder verschiedene Befehle an den Befehlseingang 16 
des ersten Rechenwerks 2 und den Befehlseingang 24 des zwei- 
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ten Rechenwerks 4 oder aber nur an eines der beiden Rechen- 
werke 2 und 4 . 

Die Steuereinrichtung 6 zum Ansteuern der beiden Rechenwerke 
5 2 und 4 kann also auf verschiedene Weise ausgefuhrt und mit 
dem ersten Rechenwerk 2, dem zweiten Rechenwerk 4 und der 
Komplementierungseinrichtung 8 wirksam verbunden sein, damit 
in Abhangigkeit von der erwtinschten Betriebsart das erste Re- 
chenwerk 2 und das zweite Rechenwerk 4 synchron dieselben 
10 Oder verschiedene Daten und Befehle verarbeiten konnen oder 
damit eines der beiden Rechenwerke 2 und 4 stillgelegt werden 
kann . 

Ferner ist eine Software-Realisierung der oben anhand der 

15 Fig. 2 bis 4 erlauterten Betriebsarten und des Wechsels zwi- 
schen denselben m5glich. In diesem Fall weist der Prozessor 
ein erstes Rechenwerk 2 und ein zweites Rechenwerk 4 auf, und 
die Steuereinrichtung ist durch Befehle realisiert, welche 
durch den Prozessor bzw. die Rechenwerke ausfiihrbar sind. Der 

20 Befehlseingang 16 des ersten Rechenwerks 2 und der Be- 

fehlseingang 24 des zweiten Rechenwerks 4 sind mit einer Be- 
fehlsquelle bzw. einem Prograiranspeicher, beispielsweise einem 
ROM (ROM = read only memory = Nur-Lese-Speicher) , verbunden. 
Das erste Rechenwerk 2 und das zweite Rechenwerk 4 weisen je- 

25 weils einen oder mehrere DateneingSnge 20 bzw. 28 auf, wobei 
alle Datenquellen, welche Daten liefern, die in der Hochsi- 
cherheitsbetriebsart verarbeitet werden sollen, beispielswei- 
se eine Anwenderschnitts telle, Uber die von einem Anwender 
eine PIN eingegeben wird, parallel so mit einem Dateneingang 

30 20 des ersten Rechenwerks und einem Dateneingang 28 des zwei- 
ten Rechenwerks verbunden sind, dali dem ersten Rechenwerk 2 
die Daten der Datenquelle und synchron dazu dem zweiten Re- 
chenwerk 4 das Komplement der Daten der Datenquelle zugelei- 
tet werden. 

35 

Dies kann, wie es bereits oben anhand des in Fig. 1 darge- 
stellten Ausftihrungsbeispiels erlSutert wurde, beispielsweise 
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durch eine Komplementierungseinrichtung in der Datenleitung 
zwischen der Datenquelle und dem Dateneingang des zweiten Re- 
chenwerks oder aber, je nach der verwendeten Architektur der 
Rechenwerke, auch durch einf aches Kreuzen von Datenleitungen 
5 erfolgen- Die Befehlsquelle enthSlt Paare von Befehlen, wobei 
jeweils einer der Befehle fur das erste Rechenwerk vorgesehen 
ist und diesem tiber einem Bef ehlseingang 16 zugefiihrt wird, 
und wobei der jeweils andere Befehl des Paars fur das zweite 
Rechenwerk 4 vorgesehen ist, und diesem synchron uber den Be- 
10 fehlseingang 24 zugefuhrt wird. 

Programmteile, die fur die oben anhand der Fig. 2 erlauterten 
Hochsicherheitsbetriebsart vorgesehen sind, weisen Paare von 
Befehlen auf^ welche jeweils zwei identische Befehle umfas- 

15 sen. Programmteile, welche ftir eine Verarbeitung in der oben 
anhand der in Fig. 3 erlauterten Hochleistungsbetriebsart 
vorgesehen sind, weisen Befehlspaare auf , welche zwei gleich- 
zeitig von dem ersten Rechenwerk 2 bzw. dem zweiten Rechen- 
werk 4 zu verarbeitende Befehle umfassen. Prograinmteile, wel- 

20 che fur eine Verarbeitung in der oben anhand der Fig. 4 er- 
lauterten Leistungssparbetriebsart vorgesehen sind, weisen 
Befehlspaare auf, welche fiir eines der Rechenwerke 2 und 4 
einen auszuf iihrenden Befehl und fur das jeweils andere Re- 
chenwerk einen nicht zu verarbeitenden Befehl oder einen 

25 Deaktivierungs- bzw. Abschaltbef ehl auf weisen. 

Bei Programmteilen, welche in der Hochsicherheitsbetriebsart 
ablaufen, verarbeiten somit das erste Rechenwerk 2 und das 
zweite Rechenwerk 4 gesteuert durch identische Befehle syn- 

30 chron komplementare Daten von der gleichen Datenquelle. Bei 
Programmteilen, welche in der Hochleistungsbetriebsart ablau- 
fen, verarbeiten das erste Rechenwerk 2 und das zweite Re- 
chenwerk 4 gesteuert durch im allgemeinen voneinander ver- 
schiedene Befehle verschiedene Daten von ein und derselben 

35 oder verschiedenen Datenquellen. Bei Programmteilen, welche 
fiir eine Bearbeitung in der Leistungssparbetriebsart vorgese- 
hen sind, bearbeitet eines der beiden Rechenwerke gesteuert 
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durch Befehle Daten und das andere Rechenwerk ist stillgelegt 
bzw. abgeschaltet. Im Fall von drei Oder mehr Rechenwerken 
ist eine Kombination der Betriebsmodi m5glich. 

5 Die oben dargestellten AusfUhrungsbeispiele sind ohne weite- 
res auf Prozessoren mit mehr als zwei Rechenwerken^ vorzugs- 
weise mit einer geraden Anzahl von paarweise baugleichen Re- 
chenwerken erweiterbar. In diesem Fall konnen alle Paare von 
Rechenwerken in derselben Betriebsart oder aber in verschie- 
10 denen Betriebsarten arbeiten. In der Leistungssparbetriebsart 
konnen alle Rechenwerke bis auf eines abgeschaltet sein* Im 
Fall von drei oder mehr Rechenwerken ist eine Kombination der 
Betriebsarten m5glich. 

15 Die vorliegende Erfindung eignet sich fUr alle Prozessoren, 
welche f iir kryptographische Anwendungen oder Sicherheitsan- 
wendungen verwendet werden k5nnen und vor Seitenkanalangrif- 
fen geschiitzt werden sollen, beispielsweise fiir Prozessoren 
in Chip kar ten. 

20 



wo 03/010638 PCT/EP02/07298 

17 



Bezugszeichenliste 



2 erstes Rechenwerk 

4 zweites Rechenwerk 

6 Steuereinrichtung 

8 Invertiereinrichtung 

12 Steuerleitung 

14 Steuerleitung 

16 Befehlseingang 

18 Befehlsleitung 

20 Dateneingang 

22 Datenleitung 

24 Befehlseingang 

26 Befehlsleitung 

28 Dateneingang 

30 Datenleitung 

32 Ausgang der Invertiereinrichtung 

34 Eingang der Invertiereinrichtung 

36 Datenleitung 

38 Steuerleitung 
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PatentansprOche 

1- Prozessor mit folgenden Merkmalen: 
5 einem ersten Rechenwerk (2); 

einem zweiten Rechenwerk (4); und 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
10 werke (2) und (4) derart, daB diese wahlweise in einer kom- 
plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
Oder in einer unabhangige Daten verarbeitenden Parallelbe- 
triebsart arbeiten. 

15 2. Prozessor mit folgenden Merkmalen: 

einem ersten Rechenwerk (2); 

einem zweiten Rechenwerk (4); iind 

20 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
werke (2) und (4) derart, daJi diese wahlweise in einer kom- 
plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
arbeiten oder sich in einer Leistungssparbetriebsart befin- 
25 den, in der eines der Rechenwerke (2, 4) abgeschaltet ist. 

3. Prozessor mit folgenden Merkmalen: 

einem ersten Rechenwerk (2); 

30 

einem zweiten Rechenwerk (4); und 

einer Steuereinrichtung (6) zum Ansteuern der beiden Rechen- 
werke (2) und (4) derart, daiJ diese wahlweise in einer kom- 
35 plementare Daten verarbeitenden Hochsicherheitsbetriebsart 
Oder in einer gleiche Daten verarbeitenden Sicherheitsbe- 
triebsart arbeiten- 
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4- Prozessor gemafl einem der Anspriiche 1 bis3, ferner ndt 
einer schaltbaren Komplementierungseinrichtung (8), mit einem 
Ausgang (32), der mit einem Eingang (28) des zweiten Rechen- 
5 werks (4) verbunden ±st, ziim Empfangen von Daten und zum 
wahlweisen Ausgeben der empfangenen Daten oder des Komple- 
ments der empfangenen Daten. 

5. Prozessor gemafi einem der Anspriiche 1 bis 4, ferner mit 
10 folgenden Merkmalen: 

einem dritten Rechenwerk; und 

einem vierten Rechenwerk; 

15 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
die Steuereinrichtung (6) derart ansteuerbar sind, daB sie 
wahlweise in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsart oder in einer unabhMngige Daten verar- 
20 beitenden Parallelbetriebsart arbeiten. 

6. Prozessor gemali einem der Anspriiche 1 bis 4, ferner mit 
folgenden Merkmalen: 

25 einem dritten Rechenwerk; und 

einem vierten Rechenwerk; 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
30 die Steuereinrichtung (6) derart ansteuerbar sind, dali sie 

wahlweise in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsart arbeiten oder sich in einer Leistungs- 
sparbetriebsart befinden, in der das dritte und/oder das 
vierte Rechenwerk abgeschaltet ist. 

35 

7. Prozessor gemaB einem der AnsprQche 1 bis 4, ferner nit 
folgenden Merkmalen: 



wo 03/010638 



20 



PCT/EP02/07298 



einem dritten Rechenwerk; und 
einem vierten Rechenwerk; 

5 

wobei das dritte Rechenwerk und das vierte Rechenwerk durch 
die Steuereinrichtung (6) derart ansteuerbar sind, dali sie 
wahlweise in einer komplementare Daten verarbeitenden Hochsi- 
cherheitsbetriebsart oder in einer gleiche Daten verarbeiten- 
10 den Sicherheitsbetriebsart arbeiten. 

8. Prozessor gemSJJ einem der Anspriiche 1 bis 7, bei dem das 
erste Rechenwerk (2) und das zweite Rechenwerk (4) derart 
ausgestaltet sind^ dafi sie in der Hochsicherheitsbetriebsart 

15 zeitsynchron die gleichen Befehle verarbeiten konnen. 

9. Prozessor gem^li einem der Anspruche 1 bis 8, bei dem das 
erste Rechenwerk (2) und das zweite Rechenwerk (4) rSumlich 
benachbart oder ineinander verwoben angeordnet sind. 

20 

10. Prozessor gemalJ einem der Anspruche 1 bis 9, bei dem der 
Prozessor ein Kryptographie- oder Sicherheitsprozessor ist. 

11. Prozessor mit folgenden Merkmalen: 

25 

einem ersten Rechenwerk (2); 

einem zweiten Rechenwerk (4); 

30 einer Datenquelle, welche rait dem ersten Rechenwerk (2) und 
dem zweiten Rechenwerk (4) derart verbunden ist, da^ synchron 
dem ersten Rechenwerk (2) Daten und dem zweiten Rechenwerk 
(4) das Komplement der Daten zugefiihrt werden; und 

35 einer Befehlsquelle, welche ein Paar von Befehlen aufweist, 
wobei einer der Befehle des Bef ehlspaares ftir das erste Re- 
chenwerk (2) vorgesehen ist und wobei der andere Befehl des 
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Befehlspaares fur das zweite Rechenwerk (4) vorgesehen ist, 
und die mit dem ersten Rechenwerk (2) und deiti zweiten Rechen- 
werk (4) derart verbunden ist, daB synchron der fur das erste 
Rechenwerk (2) vorgesehene Befehl des Befehlspaares dem er- 
5 sten Rechenwerk (2) und der fur das zweite Rechenwerk (4) 
vorgesehene Befehl des Befehlspaares dem zweiten Rechenwerk 
(4) zugeftihrt werden konnen. 

12. Prozessor gemaU Anspruch 11, bei dem der fur das erste 
10 Rechenwerk (2) vorgesehene Befehl und der fur das zweite Re- 
chenwerk (4) vorgesehene Befehl gleich sind. 

13. Chipkarte mit einem Prozessor gemaB einem der Anspruche 
1 bis 12, 

15 
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